Políticas de notificación de vulneraciones de datos ... · de acceso a bases de datos, un equipo...

Encuesta sobre:

Políticas de notificación de

vulneraciones de datos personales

en el sector privado

3

Artículo 12, A.C. https://www.sontusdatos.org

Tabla de contenido

Acerca de SonTusDatos y Artículo 12, A.C........................................................ 5

Conceptos fundamentales sobre los datos personales .................................... 6

¿Qué son las vulneraciones de datos personales? ........................................... 8

Las vulneraciones de datos personales y su impacto..................................... 18

Afectaciones a los titulares ................................................................................................................. 18

Afectaciones a las empresas responsables ...................................................................................... 20

Encuesta sobre ................................................................................................ 21

Políticas de notificación de vulneraciones de datos personales en el sector

privado ............................................................................................................ 21

Metodología .......................................................................................................................................... 22

Objetivos de la encuesta .................................................................................................................... 23

Etapas de la encuesta ......................................................................................................................... 24

Empresas seleccionadas para la encuesta ....................................................................................... 25

Preguntas que componen la encuesta ............................................................................................. 30

Evaluación ............................................................................................................................................. 32

Análisis cuantitativo ....................................................................................... 35

PREGUNTA No. 1: ¿La empresa ha implementado un sistema de seguridad de la

información (con medidas de seguridad físicas, técnicas y administrativas) para prevenir

vulneraciones de los datos personales que recaba? ...................................................................... 38

PREGUNTA No. 2: ¿La empresa cuenta con al menos un elemento (por ejemplo, un control

de acceso a bases de datos, un equipo de personas que atienda incidentes, un sistema de

detección de intrusos, una herramienta antivirus o procedimientos para auditoría de

bitácoras) que le permita detectar vulneraciones de datos personales? .................................... 39

PREGUNTA No. 3: ¿La empresa cuenta con procedimientos y personal para llevar a cabo la

notificación de vulneración de datos? .............................................................................................. 40

PREGUNTA No. 4: En caso de una vulneración de datos personales, ¿la empresa notificaría

a las personas cuyos datos han sido vulnerados? .......................................................................... 41

Empresas Destacadas ..................................................................................... 42

Consideraciones Finales ................................................................................. 56

¿Cómo explicar la baja participación a la encuesta? ...................................................................... 56

https://www.sontusdatos.org/

4

Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.

Licencia CC 4.0

Problemas detectados en las empresas en materia de protección de datos personales durante

el levantamiento de la encuesta. ...................................................................................................... 57

Recomendaciones ................................................................................................................................ 62

¿Por qué es importante que las empresas notifiquen sus vulneraciones de

datos personales? ........................................................................................... 66

Información de contacto ................................................................................ 70

Propiedad Intelectual ..................................................................................... 71

https://creativecommons.org/licenses/by/4.0

5


Acerca de SonTusDatos y Artículo 12, A.C.

Artículo 12, A.C.

Es una organización sin ánimo de lucro y la primera asociación civil que promueve,

protege y defiende los derechos a la privacidad y a la privacidad de los datos personales

de los usuarios de las tecnologías de la información y del internet en México.

Su nombre se refiere al artículo 12 de la Declaración Universal de Derechos Humanos de

las Naciones Unidas, el cual garantiza la protección de la vida privada, la familia, el

domicilio, la correspondencia y de los ataques a la honra y reputación de los individuos.

SonTusDatos

“SonTusDatos” es el programa de Artículo 12, A.C. que es dedicado a la defensa,

promoción y protección de los derechos a la privacidad y a la protección de datos

personales de las y los usuarios de Internet y otras TIC en México.

Ser la primera organización sin ánimo de lucro en México defensora de los derechos de los usuarios de tecnologías de la información y comunicación, con un enfoque particular sobre la protección de su privacidad y de sus datos personales en la Sociedad de la Información.

Visión

* Concientizar a la población en México sobre el derecho a la privacidad y a la protección de datos personales. * Promover una cultura de protección de datos en los consumidores y usuarios de TIC’s y del Internet.

Misión

* Capacitar, informar y empoderar a los usuarios de TICs e Internet sobre sus derechos.

* Actuar en su nombre ante las instituciones públicas para defender sus intereses.

* Denunciar las violaciones de sus derechos.

Objetivos


6


Licencia CC 4.0

Conceptos fundamentales sobre los datos

personales

Un dato personal es “cualquier información concerniente a una persona física identificada

o identificable”1 “como puede ser el nombre, los apellidos, la dirección postal, el número

de teléfono, la dirección de correo electrónico, el número de pasaporte, una fotografía,

la Clave Única de Registro de Población (CURP) o cualquier otra información que permita

identificar o haga identificable al titular de los datos”.2

El “tratamiento” es obtener, usar, divulgar, almacenar, acceder, manejar, aprovechar,

transferir o disponer de datos personales.

El “responsable” es la persona física o moral (empresa) de carácter privado que decide

sobre el tratamiento de los datos personales.

La protección de los datos personales está fundamentada de acuerdo al sector aplicable

– público o privado). En el sector privado, la norma aplicable es la Ley Federal de

Protección de Datos Personales en Posesión de Particulares (LFPDPPP). La LFPDPPP

tiene como objetivo la protección de los datos personales en posesión de los particulares,

con la finalidad de regular su tratamiento legítimo, controlado e informado y a efecto de

garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

La protección de los datos personales es un “derecho humano” reconocido el artículo 6,

inciso A, fracción II de la Constitución Política de los Estados Unidos Mexicanos, al

1 Artículo 3, Fracc. V. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2010,

05 Julio). [En línea] Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf. 2 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para cumplir con los principios y deberes de las Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Junio 2016). [En línea]. Disponible en: http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf.


http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf

7


establecer que “la información que se refiere a la vida privada y los datos personales será

protegida en los términos y con las excepciones que fijen las leyes.”

Son sujetos regulados por la LFPDPPP los particulares, sean personas físicas o morales

(empresas), que llevan a cabo el tratamiento de datos personales (los “responsables de

tratamiento”). Los responsables del tratamiento de datos personales deben cumplir con

los principios que establece la LFPDPPP y las obligaciones que impone.

La LFPDPPP impone obligaciones a las personas físicas y morales que tratan datos

personales y otorga derechos a los titulares de los datos a fin de garantizar el buen uso

de la información personal y la privacidad y derecho a la autodeterminación informativa

de las personas.”3

Una de las obligaciones que impone la LFPDPPP a los particulares es que las

vulneraciones de datos personales, ocurridas en cualquier fase del tratamiento y que

afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán

informadas de forma inmediata por el responsable al titular a fin de que este último

pueda tomar las medidas correspondientes a la defensa de sus derechos, esto de acuerdo

con al artículo 20 de la LFPDPPP4.

3 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Guía para cumplir con los principios y deberes de las Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Junio 2016). [En línea]. Disponible en: http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf. 4 Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2010, 05 Julio). [En línea] Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf.




8


Licencia CC 4.0

¿Qué son las vulneraciones de datos

personales?

De acuerdo al artículo 63 del Reglamento de la LFPDPPP5, las vulneraciones de datos

personales ocurridas en cualquier fase del tratamiento son:

La pérdida o destrucción no autorizada;

El robo, extravío o copia no autorizada;

El uso, acceso o tratamiento no autorizado; o

El daño, la alteración o modificación no autorizada.

¿Qué se considera una vulneración a la seguridad? – Fuente: INAI 6

Las vulneraciones de datos personales ocurridas durante el tratamiento que afecten de

forma significativa los derechos patrimoniales o morales de los titulares, de acuerdo con

5 Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2010, 05 Julio). [En línea].

México: Cámara de Diputados del Congreso de la Unión. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf. 6 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Guía para cumplir con los principios y deberes de las Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (Junio 2016). [En línea]. Pág. 72 Disponible en:

http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf.




9


la LFPDPPP7, deben ser informadas de forma inmediata por el responsable del

tratamiento a los titulares de los datos personales.

Las notificaciones de vulneraciones de datos personales que afectan de manera

significativa los derechos patrimoniales o morales de los titulares de datos deben

realizarse, en cuanto el responsable del tratamiento haya confirmado que ocurrió una

vulneración y además haya tomado las acciones encaminadas a llevar un proceso de

revisión exhaustiva de la magnitud de la afectación.

Es importante recalcar que las notificaciones de vulneraciones de datos personales deben

ser realizadas sin dilación alguna, ya que la finalidad de la notificación es que los titulares

afectados puedan tomar medidas tendientes a la defensa de sus derechos.

En la notificación de las vulneraciones, es necesario informar al menos:

La naturaleza del incidente;

Los datos personales comprometidos;

Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para

proteger sus intereses;

Las acciones correctivas realizadas de forma inmediata; y

Los medios donde puede obtener más información al respecto.

7 Art. 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2010, 05 Julio). [En línea] Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf.



10


Licencia CC 4.0

Justificación de la encuesta

Realizamos esta encuesta para averiguar el conocimiento que tienen las empresas sobre

la obligación que establece la LFPDPPP de notificar las vulneraciones de datos personales.

La realización de esta encuesta surge a partir de la necesidad de conocer de cerca el

nivel de conocimiento y compromiso que tienen las empresas en México respecto a este

tema ya que, a nivel mundial, las tendencias de vulneraciones de datos personales van

en aumento, afectando de manera significativa a los titulares y a las empresas

responsables del tratamiento.

Las vulneraciones de datos personales pueden ser originadas al interior de las empresas,

por sus propios empleados, o desde el exterior, por proveedores, cibercriminales o

hacktivistas, entre otros.

Estudios como el “Informe de defensa en ciber amenazas 2016” (2016 Ciberthreat

Defense Report”), realizado a más de 1,000 empresas de diferentes países de Norte

América, Europa, Asia Pacífico y Latinoamérica por el CyberEdge Group, muestran datos

sobre los ciberataques que han sufrido empresas de todo el mundo.

Datos de ese informe indican que, en México, el 74.6% de las empresas mexicanas

participantes, respondieron que las redes globales informáticas de sus organizaciones

estuvieron comprometidas, al menos una vez, a un ciberataque exitoso en los 12 meses

anteriores al estudio.

Datos del estudio de CyberEdge Group muestran que el porcentaje de entre 1 y 5

ciberataques exitosos ha incrementado entre las empresas participantes de la encuesta

ya que, en el año 2014, el porcentaje representó 45.6% del total de las empresas


11


mientras que, en el año 2015, el porcentaje creció al 47.9% y en el 2016, el porcentaje

de empresas afectadas es más del 51.9%.

Frecuencia de ciber ataques exitosos8 ¿Cuántas veces estima que la red global de su organización ha sido comprometida

derivado de ciberataques en los pasados 12 meses? Fuente: CiberEdge Group - 2016 Ciberthreat defense report.

De acuerdo a datos del mismo reporte de CyberEdge Group, el 53.5% de las empresas

mexicanas estiman que en los próximos 12 meses sufrirán un ciberataque y únicamente

el 37.2% de las empresas estiman que su departamento de tecnologías de la información

crecerá un 10% en el año 2016.

8 Figura 3: Frecuencia de ciber ataques exitosos en los pasados 12 meses. La figura 3 muestra un comparativo por años y por porcentaje de empresas que han sufrido un ciberataque: Ninguna vez; Entre

1 y 5 veces; Entre 6 y 10 veces; Más de 10 veces. Figura 4: Porcentaje de empresas comprometidas al menos una vez en los pasados 12 meses.


12


Licencia CC 4.0

Futura probabilidad de ciberataques exitosos9. ¿Cuál es la probabilidad de que la red de su organización se vea comprometida por

un exitoso ataque cibernético? Fuente: CiberEdge Group - 2016 Ciberthreat defense report

En México, de acuerdo a las prácticas que realizan las empresas, las notificaciones de

vulneraciones de datos personales son notificadas únicamente para cumplir con

normativas como la Ley del Mercado de Valores, tal como en la vulneración que sufrió la

empresa El Puerto de Liverpool S.A.B. de C.V.

La empresa El Puerto de Liverpool S.A.B. de C.V., empresa considerada una de las

emisoras de crédito al consumo más grande en México y una de las más importantes

tiendas departamentales, el día 24 de diciembre de 2014, reportó a la Comisión de la

Bolsa Mexicana de Valores que “había sido víctima de un intento de extorsión que

supuestamente buscaba dañar su reputación”. Así mismo, dio a conocer que los

supuestos autores del hecho lograron una intrusión en correos electrónicos del personal

y también “obtuvieron información de algunos clientes”. La empresa denunció esos

99 Figura 5 Probabilidad de ser exitosamente atacados en los próximos 12 meses. La figura 5 muestra un comparativo por años y por porcentaje de empresas que estiman sufrir un ciberataque con las respuestas:

Nada probable, Algo que no es probable, Algo probable, Muy probable. Figura 6. Porcentaje de empresas por país, que indican que es más que probable que sufran ciberataques.


13


hechos ante las autoridades e informó a sus inversionistas que el riesgo derivado de

dicha intrusión era bajo.”10

Cabe hacer mención que la notificación que hizo El Puerto de Liverpool S.A.B. de C.V., la

realizó únicamente a la Comisión de la Bolsa Mexicana de Valores, lo que indica que

incumplió con la obligación de notificar la vulneración a los titulares de los datos

personales – obligación establecida en la Ley Federal de Protección de Datos Personales

en Posesión de Particulares (“LFPDPPP”) – e informar la naturaleza del incidente, los

datos personales comprometidos, las recomendaciones al titular acerca de las medidas

que éste pueda adoptar para proteger sus intereses, las acciones correctivas realizadas

de forma inmediata y los medios donde puede obtener más información al respecto. Por

ello, la notificación que hizo El Puerto de Liverpool S.A.B. de C.V. careció de todos los

requisitos establecidos por la LFPDPPP.

Las vulneraciones de datos personales se presentan en México pero también en diversos

lugares del mundo. Estos hechos son reportados por varios sitios en Internet. Uno de

estos es http://www.informationisbeautiful.net que permite visualizar el tamaño de estos

incidentes.

10 SonTusDatos. INAI: Liverpool violó Ley de protección de datos por no tener medidas de seguridad adecuadas. [En línea]. Disponible en: http://sontusdatos.org/2016/09/13/inai_liverpool_violo_ley_de_proteccion_de_datos.


http://www.informationisbeautiful.net/

http://sontusdatos.org/2016/09/13/inai_liverpool_violo_ley_de_proteccion_de_datos

14


Licencia CC 4.0

Las más grandes vulneraciones de datos en el mundo. Fuente: informationisbeautiful.net. 11

Otros informes, como el elaborado por la empresa Eleven Paths, – Las grandes fugas de

información del primer cuatrimestre de 201612 – señalan que, durante el año 2015, se

han confirmado grandes fugas de información, lo que indica un auge en las vulneraciones

de datos personales. El reporte de Eleven Paths muestra que, durante los primeros

cuatro meses del 2016, el volumen de registros de usuarios potencialmente expuestos

en el mundo habría superado los 330 millones.13

El propio equipo de analistas de Eleven Paths concluyó que la mayor parte de las

[vulneraciones] identificad[a]s, fueron realizadas con fines criminales porque los datos

11 World's Biggest Data Breaches. [En línea]. Disponible en:

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks 12 Eleven Paths. Las grandes fugas de información del primer cuatrimestre de 2016. [En línea]. Disponible en: https://www.elevenpaths.com/wp-content/uploads/2016/06/Breaches_2016_T1_ES_v1_0.pdf. 13 Eleven Paths. [En línea]. Disponible en: https://www.elevenpaths.com/es/nuevo-informe-sobre-las-grandes-fugas-de-informacion-del-primer-cuatrimestre-de-2016/index.html#.


http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks

https://www.elevenpaths.com/wp-content/uploads/2016/06/Breaches_2016_T1_ES_v1_0.pdf

https://www.elevenpaths.com/es/nuevo-informe-sobre-las-grandes-fugas-de-informacion-del-primer-cuatrimestre-de-2016/index.html


15


personales vulnerados, fueron puestos a la venta o fueron expuestos de manera pública

después de una extorsión.14

Las violaciones de datos a gran escala afectan a millones de usuarios. Número de registros comprometidos en recientes vulneraciones de datos. Fuente: https://infographic.statista.com/normal/chartoftheday_2540_data_breaches_n.jpg

14 Eleven Paths. [En línea]. Disponible en: https://www.elevenpaths.com/es/nuevo-informe-sobre-las-grandes-fugas-de-informacion-del-primer-cuatrimestre-de-2016/index.html#.

Motivación de los ataques perpetrados en el primer cuatrimestre de 2016. Cibercrimen, Ciber

guerra; Hacktivismo; Otros; No claro. Fuente: Eleven Paths.




16


Licencia CC 4.0

Varias entidades dedicadas a la investigación de vulneraciones como Eleven Paths,

confirmaron que en México, durante los primeros cuatro meses del año 2016 (enero,

febrero, marzo y abril), existieron vulneraciones de datos personales que afectaron el

sector gubernamental.15

A continuación se muestra un gráfico comparando los países afectados por vulneraciones,

incluyendo México, en relación a las vulneraciones ocurridas a nivel mundial, el tipo de

sector afectado y las razones posibles por las que se ejecutaron las vulneraciones.

15 SonTusDatos. 93.4 millones de registros de votantes mexicanos expuestos en Internet por Movimiento Ciudadano. [En línea]. Disponible en: https://sontusdatos.org/2016/04/28/93_4_millones_de-registros_de_votantes_mexicanos_expuestos_en_internet_por_movimiento_ciudadano.


https://sontusdatos.org/2016/04/28/93_4_millones_de-registros_de_votantes_mexicanos_expuestos_en_internet_por_movimiento_ciudadano

https://sontusdatos.org/2016/04/28/93_4_millones_de-registros_de_votantes_mexicanos_expuestos_en_internet_por_movimiento_ciudadano

17


Incidentes consumados durante el primer cuatrimestre de 2016 agrupados por sector, país y motivación. Fuente: Eleven Paths. Las grandes fugas de información del primer cuatrimestre de 2016.


18


Licencia CC 4.0

Las vulneraciones de datos personales y su

impacto

De acuerdo con el estudio “Actitudes del consumidor sobre notificaciones de vulneración

de datos y perdida de información personal” (Consumer Attitudes Toward Data Breach

Notifications and Loss of Personal Information, o “el estudio Consumer Attitudes”), se

estima que en los Estados Unidos 105 millones de adultos (43% de la población adulta

en 201416) en su vida han recibido al menos una notificación de vulneración en su vida.

Dentro de los 12 meses anteriores al estudio Consumer Attitudes (junio 2014 a junio

2015), se estima que 64 millones de adultos estadounidenses recibieron una notificación

de vulneración y 36 millones recibieron dos o más notificaciones.

Las conclusiones del estudio Consumer Attitudes indican que es cada vez más común17:

1. Ser víctima de vulneraciones de datos personales;

2. Ser víctima en múltiples vulneraciones de datos personales;

3. La dependencia que los diferentes sectores de la economía (financiero, salud,

ventas al por menor, entre otros) tienen de la tecnología; y

4. La facilidad para adquirir herramientas (software o hardware) para vulnerar datos

personales.

Afectaciones a los titulares

Una de las principales afectaciones en las vulneraciones de datos personales es el robo

de identidad, entendido como la apropiación de la identidad de una persona, para hacerse

16 Tomando como base la población adulta de Estados Unidos 245.2 millones de personas, en el año 2014. 17 Ablon, Libicki, and Golay. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Estados Unidos de Norte América. Año 2015.


19


pasar por ella, asumir su identidad frente a terceros públicos o privados, a fin de obtener

ciertos recursos o beneficios a su nombre18.

Porcentaje de personas preocupadas por convertirse en víctimas de un robo de identidad19. Fuente: Ponemon - The Aftermath

of a Data Breach: Consumer Sentiment. 2014.

De acuerdo con el censo de Estados Unidos de 2010 (Nationwide Survey), 8.1 millones

de Estadounidenses fueron víctimas de robo de identidad. En la misma encuesta se

estima que el costo total por robo de identidad en ese país es de 37 billones de dólares

(USD) y que las victimas gastan en promedio 631 USD (+/- 13,300 pesos mexicanos) e

invierten más de 33 horas para resolver un problema de historial crediticio.20

18 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales - INAI.

Guía para prevenir el robo de identidad. [En línea]. Disponible en: http://inicio.inai.org.mx/nuevo/Guia%20Robo%20Identidad.pdf. 19 Ser una víctima de una vulneración de datos personales incrementa las probabilidades de ser víctima de un robo de identidad. El 24% de las víctimas de robo de información personal, declararon que desde antes

del robo, estaban extremadamente o muy preocupadas en ser víctimas de un robo de identidad. Como se muestra en la Figura 7. Después de la violación de datos. Esta preocupación aumentó significativamente

al 45%. El 48% de los encuestados dijo que su identidad estaría en riesgo durante años o para siempre. 20 Office of Privacy Protection of California. Recommended Practices on Notice of Security Breach Involving Personal Information. [En línea]. Disponible en:

https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/recom_breach_prac.pdf.


http://inicio.inai.org.mx/nuevo/Guia%20Robo%20Identidad.pdf

https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/recom_breach_prac.pdf

20


Licencia CC 4.0

Otras afectaciones que pueden sufrir los titulares afectados por una vulneración de sus

datos personales son:

Afectaciones en el patrimonio de la víctima por robo de dinero, contratación de

créditos, servicios o compras no autorizadas;

Afectaciones en su ámbito social y moral, como el daño en su imagen pública y

reputación, por la publicación de contenido privado o íntimo;

Negación de un empleo u oportunidades por acciones que no cometieron;

Secuestros, extorsiones;

Hackeo de cuentas para robar más información como fotos, vídeos, entre otros.

Afectaciones a las empresas responsables

Las afectaciones a las empresas responsables del tratamiento que sufren una vulneración

de datos personales son:

Sanciones económicas: las sanciones económicas pueden originarse por la

investigación de los hechos por parte de la autoridad encargada de la protección

de datos, la cual, en México, es el Instituto Nacional de Acceso a la Información y

Protección de Datos Personales (INAI). Adicionalmente las sanciones económicas

también pueden originarse por incumplir otras regulaciones o leyes como la Ley

del Mercado de Valores;

Gasto en remediar las afectaciones originadas por la vulneración;

Afectación en la imagen pública o reputación de la empresa;

Revelación de información confidencial.


21


Encuesta sobre

Políticas de notificación de

vulneraciones de datos

personales en el sector

privado


22


Licencia CC 4.0

Metodología

Cuestionario 4 preguntas de opción múltiple.

Universo

49 empresas seleccionadas para participar;

7 sectores diferentes de la industria;

7 empresas por sector.

Diseño muestral

Que las empresas seleccionadas fueran importantes21

en su sector;

Que el tratamiento de datos personales sea

relevante, tomando en consideración el número de

datos que manejan de titulares, categorías de datos

personales, finalidades principales (necesarias para

tratar datos personales) y, en particular, accesorias

(finalidades que no son necesarias, por ejemplo fines

publicitarios); y

Que la Ley Federal de Protección de Datos

Personales en Posesión de los Particulares y su

Reglamento aplique a las empresas seleccionadas.22

21 Explicamos la selección del criterio en la sub-sección 4 de este reporte. 22 El reglamento es aplicable a personas físicas o morales cuando el tratamiento:

I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano; II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable

establecido en territorio mexicano;

III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional; y

IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para

1


23


Población objetivo

para obtener las

respuestas

El responsable del departamento de protección de

datos personales o el personal calificado para

responder el cuestionario en nombre de su empresa;

Proceso de

levantamiento

Levantamiento del cuestionario de manera

electrónica.

Periodo de

levantamiento de la

información

Entre el 4 y el 21 de octubre de 2016.

Objetivos de la encuesta

Evaluar las políticas de notificación de vulneraciones de datos personales de una

selección de grandes empresas en México en su estatus de responsables del

tratamiento, incluyendo:

o El uso de medidas de seguridad para evitar, disminuir o mitigar cualquier

tipo de vulneración;

o El uso de protocolos operativos dentro de la empresa para detectar y

prevenir la fuga de datos personales por negligencia o acciones mal

intencionadas; y

o Cómo las empresas cumplen con la ley para notificar a sus usuarios,

clientes, empleados o contratistas (personas físicas) que han sido afectados

por una vulneración de sus datos personales.

efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones impuestas por la LFPDPPP y su Reglamento.

2


24


Licencia CC 4.0

Evaluar el conocimiento que tienen las empresas de la existencia de la obligación

legal de proteger a los titulares de datos personales ante vulneraciones; y

Generar consciencia en las empresas de que es necesario contar con medidas

preventivas y de respuesta a incidentes, en particular de notificación de las

vulneraciones de datos personales.

Etapas de la encuesta

La encuesta constó de seis etapas:

1. Selección de empresas a estudiar;

2. Diseño de la encuesta y selección de elementos a calificar en evaluación

cualitativa y cuantitativa;

3. Evaluación cualitativa de las empresas;

4. Encuesta;

5. Análisis de los resultados de la encuesta con evaluación cuantitativa;

6. Diseminación de los resultados.

Etapa 1: Selección de siete empresas representativas en siete sectores

económicos.

Etapa 2: Diseño de la encuesta: redacción de las preguntas que se

aplicarán a cada empresa.

Etapa 3: Para cada empresa, se evaluaron aspectos relativos a la

protección de datos, por ejemplo si el sitio de Internet hace

alguna mención sobre la prevención de vulneraciones de datos

personales y su notificación a titulares de esos datos.

Etapa 4: Aplicación de una encuesta de opción múltiple para conocer

acerca de las prácticas de esas empresas en materia de

3


25


detección de vulneraciones de datos personales, respuestas a

incidentes y notificación de esas vulneraciones.

Etapa 5: Análisis de los datos obtenidos durante las etapas 3 y 4;

realización del reporte final.

Etapa 6: Publicación del reporte final de la encuesta y diseminación.

Empresas seleccionadas para la encuesta

Las empresas encuestadas pertenecen a sectores económicamente relevantes – medido

por medio de la aportación al producto interno bruto (PIB) – para la economía de México,

o bien pertenecen a algún sector de interés común (e.g., telecomunicaciones).

La selección de empresas fue en base a:

Que las empresas seleccionadas fueran importantes en su sector;

Que el tratamiento de datos personales sea relevante, tomando en consideración:

el número de datos que manejan de titulares, categorías de datos personales,

finalidades principales y, en particular, accesorias; y

Que la Ley Federal de Protección de Datos Personales en Posesión de los

Particulares y su Reglamento se apliquen a ellas.

En total se seleccionaron 49 empresas. 7 empresas por 7 sectores diferentes de la

economía mexicana:

1. Comercio de medicamentos;

2. Comercio al por menor de mercancías;

3. Transportes, correos y almacenamiento;

4. Servicios financieros;

5. Servicios educativos;

6. Servicios de salud; y

4


26


Licencia CC 4.0

7. Telecomunicaciones.

# Sector Marca Razón social

1 Comercio de

medicamentos

Farmacias del Ahorro Comercializadora Farmacéutica de

Chiapas, S.A.P.I. de C.V.

2 Comercio de

medicamentos

Farmacias Similares Farmacias de Similares, S.A. de C.V.

3 Comercio de

medicamentos

Farmacias Benavides Farmacias Benavides, S.A.B. de C.V.

4 Comercio de

medicamentos

Farmacon FarmaCón, S.A. de C.V.

5 Comercio de

medicamentos

Farmacias Guadalajara Farmacia Guadalajara, S.A. de C.V.

6 Comercio de

medicamentos

Farmacias

Especializadas

Fármacos Especializados, S.A de C.V.

7 Comercio de

medicamentos

Farmacias Purex Farmacias la Cadena, S.A de C.V.

8 Comercio al por menor

de mercancías

Walmart de México Nueva Wal-Mart de México, S. de R.L.

de C.V.


de mercancías

Liverpool Distribuidora Liverpool, S.A. de C.V.

7 sectores

7 empresas por sector

Un total de 49 empresas seleccionadas

Development : Domain Name, Hosting, SEO, Social


27



de mercancías

FEMSA Comercio (Oxxo) Fomento Económico Mexicano, S.A.B.

de C.V.


de mercancías

Coppel Grupo Coppel, S.A. de C.V.


de mercancías

Chedraui Tiendas Chedraui, S.A. de C.V.


de mercancías

Soriana Tiendas Soriana, S.A. de C.V.


de mercancías

Sanborns Sanborn Hermanos, S.A.

15 Transportes, correos y

almacenamiento

Aeroméxico Aerovías de México, S.A. de C.V.


almacenamiento

Interjet ABC Aerolíneas, S.A de C.V.; Atento

México Holdco S. de R.L. de C.V.


almacenamiento

Volaris Concesionaria Vuela Compañía de

Aviación, S.A.P.I. de C.V.


almacenamiento

ADO ADO y Empresas Coordinadas, S.A. de

C.V.


almacenamiento

Estrella Blanca Autobuses Estrella Blanca, S.A. de

C.V.


almacenamiento

Fedex México Federal Express Holdings México y

Compañía, S.N.C. de C.V.; FedEx de

México S. de R.L. de C.V.


28


Licencia CC 4.0


almacenamiento

ETN ETN Turistar Lujo, S.A. de C.V.

22 Servicios financieros BBVA Bancomer BBVA Bancomer, Sociedad Anónima,

Institución de Banca Múltiple, Grupo

Financiero BBVA Bancomer

23 Servicios financieros Banamex Banco Nacional de México, S.A.,

integrante del Grupo Financiero

Banamex

24 Servicios financieros Banorte Banco Mercantil del Norte, S.A.,

Institución de Banca Múltiple Grupo

Financiero Banorte

25 Servicios financieros Santander México Banco Santander (México), S.A.,


Financiero Santander México

26 Servicios financieros HSBC HSBC México, S.A., Institución de

Banca Múltiple, Grupo Financiero

HSBC

27 Servicios financieros Scotiabank Scotiabank Inverlat, S.A. Institución

de Banca Múltiple, Grupo Financiero

Scotiabank Inverlat

28 Servicios financieros American Express American Express Bank (México),

S.A., Institución de Banca Múltiple

29 Servicios educativos ITESM - Tec de

Monterrey

Enseñanza e Investigación Superior,

A.C.

30 Servicios educativos UDLAP Fundación Universidad de las

Américas, Puebla (Campus Puebla)


29


31 Servicios educativos UIA - Universidad

Iberoamericana

Universidad Iberoamericana, A. C.

32 Servicios educativos UVM - Universidad del

Valle de México

Universidad Del Valle De México, S.C.

33 Servicios educativos UDEM - Universidad de

Monterrey

Universidad de Monterrey

34 Servicios educativos UP - Universidad

Panamericana

Centros Culturales de México, A.C.

35 Servicios educativos UA - Universidad

Anáhuac

Investigaciones y Estudios

Superiores, S.C.

36 Servicios de salud Christus Muguerza Christus Muguerza, S.A.P.I. de C.V.,

Christus Muguerza Sistemas

Hospitalarios, S.A. de C.V.; Christus

Muguerza del Parque, S.A. de C.V.

37 Servicios de salud Hospital San José Fundación Santos y de la Garza Evia

I.B.P.

38 Servicios de salud Médica Sur Médica Sur, S.A.B. de C.V.

39 Servicios de salud Centro Médico Puerta

de Hierro

Hospital de Especialidades Puerta de

Hierro, S.A. DE C.V.

40 Servicios de salud Hospital Ángeles Operadora de Hospitales Ángeles,

S.A. de C.V. , Centro de Diagnóstico

Ángeles; S.A. de C.V. y Laboratorios

Biomédicos, S.A. de C.V.

41 Servicios de salud Centro Médico ABC The American British Cowdray Medical

Center, I.A.P.

42 Servicios de salud Star Médica Star Médica, S.A. de C.V.


30


Licencia CC 4.0

43 Telecomunicaciones Telcel Radiomóvil Dipsa, S.A. de C.V.

44 Telecomunicaciones AT&T México AT&T Comunicaciones Digitales, S. de

R.L. de C.V.

45 Telecomunicaciones Telefónica Movistar Pegaso PCS, S.A. de C.V.

46 Telecomunicaciones Telmex Teléfonos de México, S.A.B. de C.V.

47 Telecomunicaciones Megacable Megacable Holdings, S.A.B. de C.V.,

Mega Cable, S.A. de C.V.

48 Telecomunicaciones Axtel Axtel, S.A.B., de C.V.

49 Telecomunicaciones Izzi Telecom Cablevisión S.A. de C.V., Servicios

Telum, S.A. de C.V.,

Telecomunicaciones de Norte, S.A. de

C.V., Comunicable S.A. de C.V.,

Televisión Internacional, S.A. de C.V.,

Cablemás Telecomunicaciones S.A.

de C.V., Cable y Comunicación de

Campeche S.A. de C.V., Alvafig S.A.

de C.V. y Cablevisión Red, S.A. de

C.V.

Preguntas que componen la encuesta

La encuesta incluía 4 preguntas, con respuestas de opción múltiple.

5


31


1. ¿La empresa ha implementado un sistema de seguridad de la

información (con medidas de seguridad físicas, técnicas y

administrativas) para prevenir vulneraciones de los datos personales

que recaba?

a. Sí, la empresa cuenta con un sistema de seguridad de la información

operando.

b. Tenemos un buen avance en la implementación de ese sistema de

seguridad.

c. El tema ya está planeado y empezamos a implementarlo.

d. Es un tema de interés en el cual se ha pensado trabajar.

2. ¿La empresa cuenta con al menos un elemento (por ejemplo, control de

acceso a bases de datos, un equipo de personas que atienda incidente,

sistemas de detección de intrusos, antivirus, procedimientos para

auditoria de bitácoras) que le permita detectar vulneraciones de datos

personales?

a. Sí, tenemos varios elementos implementados y operando.

b. Tenemos un elemento implementado y operando.

c. Tenemos planes y el presupuesto autorizado para implementar al menos

un elemento.

d. Aún no.

3. ¿La empresa cuenta con procedimientos y personal para llevar a cabo

notificaciones de vulneración de datos?

a. Sí, contamos con varios procedimientos probados y personal capacitado.

b. Contamos con un procedimiento implementado y al menos una persona.

c. Tenemos planes y presupuesto autorizado para contar con procedimientos

y personal.

d. Todavía no.


32


Licencia CC 4.0

4. En caso de una vulneración de datos personales, ¿la empresa notificaría

a las personas cuyos datos han sido vulnerados?

a. Sí, siempre.

b. Sí, en la mayoría de los casos.

c. Generalmente no lo haríamos, salvo en casos críticos.

d. No sería necesario hacerlo porque lo corregiríamos inmediatamente.

Evaluación

La evaluación de cada empresa y asignación de resultado, es realizada a partir de la

suma de los porcentajes obtenidos de acuerdo con la siguiente tabla23:

1. ¿La empresa ha implementado un sistema de seguridad de la información

(con medidas de seguridad físicas, técnicas y administrativas) para prevenir

vulneraciones de los datos personales que recaba?

a. Sí, la empresa cuenta con un sistema de seguridad de

la información operando.

25.00%

b. Tenemos un buen avance en la implementación de ese

sistema de seguridad.

18.75%

c. El tema ya está planeado y empezamos a

implementarlo.

12.50%

d. Es un tema de interés en el cual se ha pensado trabajar. 6.25%

23 Las empresas recibieron únicamente las preguntas con las opciones de respuestas, pero sin asignación de porcentaje a cada respuesta.

6


33


2. ¿La empresa cuenta con al menos un elemento (por ejemplo, control de

acceso a bases de datos, un equipo de personas que atienda incidente,

sistemas de detección de intrusos, antivirus, procedimientos para auditoria

de bitácoras) que le permita detectar vulneraciones de datos personales?

a. Sí, tenemos varios elementos implementados y

operando.

25.00%

b. Tenemos un elemento implementado y operando. 18.75%

c. Tenemos planes y el presupuesto autorizado para

implementar al menos un elemento.

12.50%

d. Aún no. 6.25%

3. ¿La empresa cuenta con procedimientos y personal para llevar a cabo

notificaciones de vulneración de datos?

a. Sí, contamos con varios procedimientos probados y

personal capacitado.

25.00%

b. Contamos con un procedimiento implementado y al

menos una persona.

18.75%

c. Tenemos planes y presupuesto autorizado para contar

con procedimientos y personal.

12.50%

d. Todavía no. 6.25%

4. En caso de una vulneración de datos personales, ¿la empresa notificaría a

las personas cuyos datos han sido vulnerados?

a. Sí, siempre. 25.00%

b. Sí, en la mayoría de los casos. 18.75%

c. Generalmente no lo haríamos, salvo en casos críticos. 12.50%

d. No sería necesario hacerlo porque lo corregiríamos

inmediatamente.

6.25%


34


Licencia CC 4.0

La representación de los resultados obtenidos por las empresas, es realizada través del

llenado de un candado conforme al porcentaje obtenido.

Ejemplo:

0%

(sin respuestas para

una evaluación)

25%

50%

75%

100%


35


Análisis cuantitativo

Los resultados del análisis cuantitativo están basados en las

respuestas de las empresas a las 4 preguntas que conforman la

encuesta.


36


Licencia CC 4.0

Las 49 empresas seleccionadas para la encuesta cuentan al menos con un aviso de

privacidad, publicado en sus respectivos sitios web.

Sólo ocho empresas, de una muestra total de 49, contestaron la encuesta (cierre a las

15:00 horas del 21 de octubre de 2016). Es decir, únicamente el 16.32% del total de

empresas seleccionadas contestó la encuesta.

Las empresas que la contestaron

fueron:

Farmacias del Ahorro

Farmacias Especializadas

Coppel

ETN

Scotiabank

Universidad de Monterrey

Telcel

AT&T

El número de intentos antes de

encontrar al representante adecuado,

líder del departamento u oficial de

protección de datos personales, estuvo

en el rango de entre uno y ocho

intentos.

16.32%

83.68%

Encuestas contestadas

Encuestas no contestadas

1

3

8

0 2 4 6 8 10

Mínimo

Promedio

Máximo


37


Los sectores “Telecomunicaciones” y “Comercio al por menor en medicamentos”

destacan al obtenerse respuestas de dos empresas por sector. En los sectores “Servicios

educativos”, “Transportes, correos y almacenamiento”, “Comercio al por menor de

mercancías”, y “Servicios Financieros” obtuvieron respuestas de una empresa por sector.

En tanto que no se obtuvo ninguna respuesta de ninguna empresa del sector “Servicios

de Salud”.


38


Licencia CC 4.0

PREGUNTA No. 1: ¿La empresa ha implementado

un sistema de seguridad de la información (con

medidas de seguridad físicas, técnicas y

administrativas) para prevenir vulneraciones de los

datos personales que recaba?

Siete de las ocho empresas tienen implementado un sistema de seguridad de la

información consolidado que incluye medidas de seguridad físicas, técnicas y

administrativas para prevenir vulneraciones de los datos personales. La Universidad de

Monterrey (UDEM) es la única que no tiene un sistema consolidado pero posee una

planeación al respecto y ha comenzado a implantarlo.

7

1

0 1 2 3 4 5 6 7 8

Sí, la empresa cuenta con unsistema de seguridad de lainformación operando

El tema ya está planeado yempezamos a implementarlo


39


PREGUNTA No. 2: ¿La empresa cuenta con al

menos un elemento (por ejemplo, un control de

acceso a bases de datos, un equipo de personas que

atienda incidentes, un sistema de detección de

intrusos, una herramienta antivirus o procedimientos

para auditoría de bitácoras) que le permita detectar

vulneraciones de datos personales?

El equivalente al 87.5% de las empresas que contestaron la encuesta cuentan con más

de un elemento que le permita detectar vulneraciones de datos personales. Entre estos

elementos, podemos incluir un mecanismo de control de acceso a bases de datos, un

equipo de personas que atienda incidentes, sistemas de detección de intrusos, antivirus

y procedimientos para auditoría de bitácoras, entre otros.

El 12.5% restante tiene sólo un elemento que permite descubrir vulneraciones de datos.

Este 12.5% está representado por la Universidad de Monterrey (UDEM).

87.50%

12.50%Sí, tenemos varioselementosimplementados yoperando

Tenemos unelementoimplementado yoperando


40


Licencia CC 4.0

PREGUNTA No. 3: ¿La empresa cuenta con

procedimientos y personal para llevar a cabo la

notificación de vulneración de datos?

Todas las empresas señalan tener al menos un procedimiento y personal para llevar a

cabo la notificación de vulneración de datos.

5 empresas aseguran tener más de un procedimiento y más de una persona

encargada de la notificación de vulneración de datos.

3 empresas señalan tener sólo un procedimiento y al menos una persona

encargada de dicha labor. Estas dos últimas empresas son Transportes

ETN, la Universidad de Monterrey (UDEM) y Scotiabank.

En los avisos de privacidad de las 49 empresas, 24 indican contar con un departamento

u oficial encargado de la protección de datos personales. Sin embargo 25 empresas no

lo indican.

62.50%

37.50%

0.00%

10.00%

20.00%

30.00%

40.00%

50.00%

60.00%

70.00%

Sí, contamos con variosprocedimientos probados ypersonal capacitado.

Contamos con un procedimientoimplementado y al menos unapersona


41


PREGUNTA No. 4: En caso de una vulneración de

datos personales, ¿la empresa notificaría a las

personas cuyos datos han sido vulnerados?

En el caso de notificación de vulneración de datos personales 6 empresas señalaron que

siempre avisarían a los propietarios de los datos vulnerados, mientras que 1 empresa, la

Universidad de Monterrey (UDEM), notificaría sólo en casos críticos. Asimismo,

Transportes ETN apuntó que no sería necesario, pues se corregiría inmediatamente la

vulneración.

En los avisos de privacidad de las 49 empresas seleccionadas, ninguna empresa informa

que notificará las vulneraciones, ni los medios a través de los cuales lo hará.

75% 12.50% 12.50%

Sí, siempre

Generalmente no lo haríamos, salvo en casos críticos

No sería necesario hacerlo porque lo corregiríamos inmediatamente


42


Licencia CC 4.0

Empresas Destacadas

La categorización de “Empresas destacadas” es otorgada en base a los siguientes

criterios:

La empresa respondió en tiempo y forma las preguntas de la encuesta;

La empresa obtuvo más del 50% en su evaluación.


43


Evaluación

Total 100%

Marca distintiva

Sector: Comercio de medicamentos

Nombre de la persona moral: Comercializadora Farmacéutica de Chiapas, S.A.P.I. de C.V.

Razonamiento:

¿La empresa ha implementado un

sistema de seguridad de la información

(con medidas de seguridad físicas,

técnicas y administrativas) para prevenir

vulneraciones de los datos personales

que recaba?

Sí, la empresa cuenta con un sistema de

seguridad de la información operando. 25%

¿La empresa cuenta con al menos un

elemento (por ejemplo, control de acceso

a bases de datos, un equipo de personas

que atienda incidentes, sistemas de

detección de intrusos, antivirus,

procedimientos para auditoría de

bitácoras) que le permita detectar


Sí, tenemos varios elementos

implementados y operando. 25%

¿La empresa cuenta con procedimientos

y personal para llevar a cabo la


Sí, contamos con varios procedimientos

probados y personal capacitado. 25%

En caso de una vulneración de datos

personales, ¿la empresa notificaría a las

personas cuyos datos han sido

vulnerados?

Sí, siempre. 25%

Total 100%


44


Licencia CC 4.0

Evaluación

Total 100%

Marca distintiva

Sector: Comercio de medicamentos

Nombre de la persona moral: Fármacos Especializados, S.A de C.V.

Razonamiento:






que recaba?





















vulnerados?

Sí, siempre. 25%

Total 100%


45


Evaluación

Total 100%

Marca distintiva

Sector Comercio al por menor de mercancías

Nombre de la persona moral: Grupo Coppel, S.A. de C.V.

Razonamiento:






que recaba?





















vulnerados?

Sí, siempre. 25%

Total 100%


46


Licencia CC 4.0

Evaluación

Total 75%

Total

Marca distintiva

Sector Transportes, correos y almacenamiento

Nombre de la persona moral: ETN Turistar Lujo, S.A. de C.V.

Razonamiento:






que recaba?
















Contamos con un procedimiento

implementado y al menos una persona. 18.75%




vulnerados?

No sería necesario hacerlo porque lo

corregiríamos inmediatamente. 6.25%

Total 75%


47


Evaluación

Total 93.75%

Marca distintiva

Sector Servicios financieros

Nombre de la persona moral: Scotiabank Inverlat, S.A. Institución de Banca Múltiple,

Grupo Financiero Scotiabank Inverlat

Razonamiento:

¿La empresa ha implementado un sistema

de seguridad de la información (con

medidas de seguridad físicas, técnicas y

administrativas) para prevenir

vulneraciones de los datos personales que

recaba?













¿La empresa cuenta con procedimientos y

personal para llevar a cabo la notificación

de vulneración de datos?


implementado y al menos una persona. 18.75



personas cuyos datos han sido vulnerados?

Sí, siempre 25%

Total 93.75%


48


Licencia CC 4.0

Evaluación

Total 62.5%

Marca distintiva

Sector Servicios educativos

Nombre de la persona moral: Universidad de Monterrey

Razonamiento:






que recaba?

El tema ya está planeado y empezamos a

implementarlo. 12.50%









Tenemos un elemento implementado y

operando. 18.75%





implementado y al menos una persona. 18.75%




vulnerados?

Generalmente no lo haríamos, salvo en

casos críticos. 12.50%

Total 62.5%


49


Evaluación

Total 100%

Marca distintiva

Sector Telecomunicaciones

Nombre de la persona moral: Radiomóvil Dipsa S.A. de C.V.

Razonamiento:






que recaba?





















vulnerados?

Sí, siempre. 25%

Total 100%


50


Licencia CC 4.0

Evaluación

Total 100%

Marca distintiva

Sector Telecomunicaciones

Nombre de la persona moral: AT&T Comunicaciones Digitales, S. De R.L. de C.V.

Razonamiento:






que recaba?





















vulnerados?

Sí, siempre. 25%

Total 100%


51


A las siguientes empresas se les asignó un 0% en la evaluación, toda vez que no

obtuvimos sus respuestas a las preguntas de la encuesta.

0%

Sector Marca Razón social de la

persona moral

Comercio de

medicamentos

Farmacias Similares Farmacias de Similares, S.A. de C.V.

Comercio de

medicamentos

Farmacias Benavides Farmacias Benavides, S.A.B. de C.V.

Comercio de

medicamentos

Farmacon FarmaCón, S.A. de C.V.

Comercio de

medicamentos

Farmacias Guadalajara Farmacia Guadalajara, S.A. de C.V.

Comercio de

medicamentos

Farmacias Purex Farmacias la Cadena, S.A de C.V.


52


Licencia CC 4.0

Comercio al por menor

de mercancías

Walmart de México Nueva Wal Mart de México, S. de R.L. de

C.V.


de mercancías

Liverpool Distribuidora Liverpool, S.A. de C.V.


de mercancías

FEMSA Comercio (Oxxo) Fomento Económico Mexicano, S.A.B. de

C.V.


de mercancías

Chedraui Tiendas Chedraui, S.A. de C.V.


de mercancías

Soriana Tiendas Soriana, S.A. de C.V.


de mercancías

Sanborns Sanborn Hermanos, S.A.

Transportes, correos y

almacenamiento

Aeroméxico Aerovías de México, S.A. de C.V.


almacenamiento

Interjet ABC Aerolíneas, S.A de C.V.; Atento México

Holdco S. de R.L. de C.V.


almacenamiento

Volaris Concesionaria Vuela Compañía de Aviación,

S.A.P.I. de C.V.


almacenamiento

ADO ADO y Empresas Coordinadas, S.A. de C.V.


almacenamiento

Estrella Blanca Autobuses Estrella Blanca, S.A. de C.V.


almacenamiento

Fedex México Federal Express Holdings México y

Compañía, S.N.C. de C.V.; FedEx de México

S. de R.L. de C.V.


53


Servicios financieros BBVA Bancomer BBVA Bancomer, Sociedad Anónima,


Financiero BBVA Bancomer

Servicios financieros Banamex Banco Nacional de México, S.A., integrante

del Grupo Financiero Banamex

Servicios financieros Banorte Banco Mercantil del Norte, S.A., Institución

de Banca Múltiple Grupo Financiero Banorte

Servicios financieros Santander México Banco Santander (México), S.A., Institución

de Banca Múltiple, Grupo Financiero

Santander México

Servicios financieros HSBC HSBC México, S.A., Institución de Banca

Múltiple, Grupo Financiero HSBC

Servicios financieros American Express American Express Bank (México), S.A.,

Institución de Banca Múltiple

Servicios educativos ITESM - Tec de

Monterrey

Enseñanza e Investigación Superior, A.C.

Servicios educativos UDLAP Fundación Universidad de las Américas,

Puebla (Campus Puebla)

Servicios educativos UIA - Universidad

Iberoamericana

Universidad Iberoamericana, A. C.

Servicios educativos UVM - Universidad del

Valle de México

Universidad Del Valle De México, S.C.

Servicios educativos UP - Universidad

Panamericana

Centros Culturales de México, A.C.


54


Licencia CC 4.0

Servicios educativos UA - Universidad

Anáhuac

Investigaciones y Estudios Superiores, S.C.

Servicios de salud Christus Muguerza Christus Muguerza, S.A.P.I. de C.V., Christus

Muguerza Sistemas Hospitalarios, S.A. de

C.V.; Christus Muguerza del Parque, S.A. de

C.V.

Servicios de salud Hospital San José Fundación Santos y de la Garza Evia I.B.P.

Servicios de salud Médica Sur Médica Sur, S.A.B. de C.V.

Servicios de salud Centro Médico Puerta

de Hierro

Hospital de Especialidades Puerta de Hierro,

S.A. DE C.V.

Servicios de salud Hospital Ángeles Operadora de Hospitales Ángeles, S.A. de

C.V. , Centro de Diagnóstico Ángeles; S.A.

de C.V. y Laboratorios Biomédicos, S.A. de

C.V.

Servicios de salud Centro Médico ABC The American British Cowdray Medical

Center, I.A.P.

Servicios de salud Star Médica Star Médica, S.A. de C.V.

Telecomunicaciones Telefónica Movistar Pegaso PCS, S.A. de C.V.

Telecomunicaciones Telmex Teléfonos de México, S.A.B. de C.V.

Telecomunicaciones Megacable Megacable Holdings, S.A.B. de C.V., Mega

Cable, S.A. de C.V.


55


Telecomunicaciones Axtel Axtel, S.A.B., de C.V.

Telecomunicaciones Izzi Telecom Cablevisión S.A. de C.V., Servicios Telum,

S.A. de C.V., Telecomunicaciones de Norte,

S.A. de C.V., Comunicable S.A. de C.V.,

Televisión Internacional, S.A. de C.V.,

Cablemás Telecomunicaciones S.A. de C.V.,

Cable y Comunicación de Campeche S.A. de

C.V., Alvafig S.A. de C.V. y Cablevisión Red,

S.A. de C.V.


56


Licencia CC 4.0

Consideraciones Finales

Los impactos de las vulneraciones de datos personales pueden afectar de forma

significativa los derechos patrimoniales o morales de los titulares de los datos personales.

También afectan a las empresas responsables del tratamiento porque deben enfrentar

procesos de investigación y de imposición de sanciones que podrán derivar en altas

multas económicas.

Aunque el 100% de las 49 empresas seleccionadas para participar en esta encuesta

presentan avisos de privacidad en medios accesibles como páginas de internet, e incluso

24 empresas indican tener un oficial o un departamento de protección de datos, en los

hechos es complejo lograr comunicarse con las personas encargadas de esa área, incluso

utilizando los datos de contacto mostrados en los avisos de privacidad publicados por las

propias empresas.

Las empresas muestran dar importancia a la protección de los datos personales en sus

medios de exposición pública como sitios web. Sin embargo, en los hechos, pocas son

las empresas que declaran tener personal asignado a la protección de datos y contar con

medidas que permitan prevenir o remediar una vulneración de datos personales.

¿Cómo explicar la baja participación a la encuesta?

Los resultados de participación en esta encuesta pueden deberse a diversos factores:

1. 24 de las 49 empresas seleccionadas para participar en la encuesta declaran en

sus avisos de privacidad contar con un oficial o departamento de protección de

datos personales.


57


2. 25 de las 49 empresas seleccionadas para participar en la encuesta omiten

declarar en sus avisos de privacidad contar con un oficial o departamento de

protección de datos personales.

3. En los hechos, varias de las empresas encuestadas carecen del personal o un

departamento destinado al tema de la protección de datos personales. O bien,

los roles son confusos. Carecer de personal destinado a la protección de datos

dificulta consultar con la persona responsable sobre la postura, prácticas y

respuestas a incidentes y notificaciones de vulneraciones de datos personales que

lleva a cabo la empresa.

4. Las prácticas relativas a la protección de datos al interior de las empresas son

pocas, nulas o deficientes y las empresas no quisieron exponerse, evitando

participar en la encuesta antes que mentir.

5. No existe una cultura de transparencia en las empresas para informar a los

titulares sobre sus prácticas de protección de datos, y con ello evitar, detectar y

remediar vulneraciones de datos personales.

Problemas detectados en las empresas en materia de protección de datos

personales durante el levantamiento de la encuesta.

Durante el envío de la encuesta y seguimiento de los resultados, obtuvimos información

adicional que no formó parte de esta encuesta pero es de suma importancia mencionarla,

ya que muestra notables carencias y problemas de las empresas en la protección de los

datos personales. Cabe mencionar que estas carencias y problemas pueden derivar en

posibles vulneraciones de datos personales.


58


Licencia CC 4.0

De las 24 empresas que declaran en sus avisos de privacidad contar con un oficial

o departamento de datos personales, después de entablar comunicación con ellas,

registramos que:

o Una empresa del sector “comercio de medicamentos” tiene deshabilitados los

medios de contacto con su departamento de protección de datos;

o Una empresa del sector de “comercio al por menor de mercancías”, reconocía

contar con un departamento de protección de datos, pero carecía de un

registro de las personas que conforman el departamento de protección de

datos;

o Dos empresas del sector “servicios de salud” desconocían que declaraba contar

con un departamento de protección de datos personales, por lo que no cuentan

con un registro de quienes conforman el departamento, a pesar de indicarlo

en su aviso de privacidad;

o Una empresa del sector “servicios de salud”, reconocía contar con un

departamento, pero desconocía quienes lo conformaban;

o Una empresa del sector “servicios de salud” en una primera comunicación

declaró contar con un departamento de protección de datos, pero en una

segunda comunicación declaró que la información de contacto del

departamento era información reservada;

o Una empresa del sector “servicios de salud” tiene deshabilitados los medios de

contacto con su departamento de protección de datos;

Una empresa del sector de “transportes, correos y almacenamiento” confirmó

carecer de personal designado para la protección de los datos personales.

El sector de “servicios de salud” es el sector donde es más frecuente que las

empresas declaren desconocer a su oficial o departamento de protección de datos.


59


De las 25 empresas que no mencionan en sus avisos de privacidad contar con un

oficial o departamento de protección de datos, es notablemente más difícil

comunicarse con el personal responsable de la protección de datos.

A pesar que las 49 empresas seleccionadas para participar en esta encuesta

publican al menos un aviso de privacidad, la gran mayoría sonoriza avisos de

privacidad cortos vía telefónica al inicio de las llamadas entrantes a su número de

contacto público – en los hechos, 24 de las empresas (48.97%) cuentan con

personal capacitado para atender el tema de la protección de datos personales.

En varios casos las personas encargadas de la protección de los datos personales

desconocen quien administra la cuenta de correo electrónico que la empresa indica

en su aviso de privacidad para que los titulares de datos personales ejerzan los

ejercer derechos ARCO (acceso, rectificación, cancelación, oposición).

48 de las 49 empresas seleccionadas para la encuesta indican en sus avisos de

privacidad datos de contacto electrónico para que los titulares de los datos

personales ejerzan sus derechos ARCO (acceso, rectificación, cancelación,

oposición). Sin embargo, varios correos electrónicos están deshabilitados, lo que

genera que nunca se pueda entablar comunicación por el medio indicado por las

empresas.

Ejemplos de mensajes de devolución de correo en una empresa del sector de

comercio de medicamentos:

“Undeliverable: Protección de datos personales - Encuesta sobre

notificación de vulneraciones…”

“Your message wasn't delivered due to a permission or security

issue. It may have been rejected by a moderator, the address may


60


Licencia CC 4.0

only accept e-mail from certain senders, or another restriction may

be preventing delivery.”

Ejemplos de mensajes de devolución de correo en una empresa del sector de

servicios de salud:

“Your message to __________________________ couldn't be

delivered.

_______________ wasn't found at _________________.”.


61


“Typically this error occurs because the recipient email address is

incorrect or doesn't exist at the destination domain.”

Ejemplo de mensaje de devolución de correo en una empresa del sector de

servicios de salud:


62


Licencia CC 4.0

Recomendaciones

Derivado de los bajos resultados de aceptación de la encuesta, así como de las carencias

y problemas que detectamos en las empresas durante el levantamiento de la encuesta,

recomendamos que:

La sociedad civil organizada y el INAI fomenten en las empresas responsables de

tratamiento la cultura por la protección de los datos personales; hagan latente que

cumplir con la normativa en la materia trae consigo múltiples beneficios, aún en

los casos en que se ha sufrido una vulneración, porque notificarla a los afectados

demuestra que la empresa es transparente en su actuación hacia ellos y que

asume la responsabilidad por remediar los errores que propiciaron la vulneración.

La sociedad civil organizada y el INAI concienticen a las empresas sobre los riesgos

de las vulneraciones de datos personales y empoderen a los titulares de datos

personales (clientes, usuarios, empleados y proveedores, entre otros) para que


63


estos últimos exijan la debida protección de sus datos personales, así como la

adopción de mejores prácticas en el tratamiento de datos.

El INAI promueva certificaciones en materia de protección de datos personales

para que, de manera sencilla, los titulares de los datos personales conozcan que

las empresas cumplen con los principios y obligaciones de Ley Federal de

Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

El INAI verifique a través de los procedimientos de investigación24 y verificación25

qué medidas en materia de protección de datos personales las empresas han

adoptado en los hechos, para evitar que las empresas indiquen cumplir con los

principios y obligaciones de la LFPDPPP pero no destinen recursos (materiales y

humanos) para la protección de los datos personales.

Las empresas responsables del tratamiento participen de manera activa, abierta e

ininterrumpida con la sociedad civil, ya que esta colaboración permitirá aportar al

sector privado mejores prácticas en materia de protección de datos, además de

brindar a las empresas una mayor transparencia sobre el manejo correcto de los

datos personales que tratan.

Las empresas atiendan las recomendaciones, estudios, encuestas y proyectos que

son desarrollados en los sectores privado y público, con las finalidades de

24 El INAI tiene la facultad para iniciar de oficio el procedimiento investigación cuando se presuma de

manera fundada y motivada alguna violación a la Ley o su Reglamento, con fundamento en los artículos 5 y 52 de los Lineamientos de los Procedimientos de Protección de Derechos, de Investigación y Verificación,

y de Imposición de Sanciones publicados en el Diario Oficial de la Federación. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5419449&fecha=09/12/2015 25 El INAI tiene la facultad para iniciar de oficio el procedimiento de verificación, cuando se presuma de manera fundada y motivada alguna violación a la Ley o su Reglamento, en términos de los artículos 39,

fracciones I y VI, 59 y 60 de la LFPDPPP, 129 del Reglamento de la LFPDPPP y 39, fracciones I, II, VII y

VIII del Reglamento Interior de INAI, publicado en el Diario Oficial de la Federación el 20 de febrero de 2014, así como en el artículo 5 de los Lineamientos de los Procedimientos de Protección de Derechos, de

Investigación y Verificación, y de Imposición de Sanciones publicados en el Diario Oficial de la Federación. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5419449&fecha=09/12/2015.


http://www.dof.gob.mx/nota_detalle.php?codigo=5419449&fecha=09/12/2015

http://www.dof.gob.mx/nota_detalle.php?codigo=5419449&fecha=09/12/2015

64


Licencia CC 4.0

contribuir a la protección de datos personales, así como a la prevención, detección

y remediación de los impactos de las vulneraciones de datos personales.

Algunos ejemplos son:

o La “Guía de buenas prácticas para el manejo de incidentes”26 (Good Practice

Guide for Incident Management) de la Agencia Europea de Seguridad de

Redes y de la Información (European Network and Information Security

Agency - ENISA);

o Las “Recomendaciones para una metodología de evaluación de la gravedad

de vulneraciones de datos”27 (Recommendations for a methodology of the

assessment of severity of personal data breaches) de la Agencia Europea

de Seguridad de Redes y de la Información (European Network and

Information Security Agency - ENISA);

o La “Lista de verificación ante vulneraciones de datos”28 (Data Breach

Response Checklist) del Departamento de Educación de los Estados Unidos

(U.S. Department of Education).

Las empresas, principalmente del sector de servicios de salud y financiero, deben

utilizar herramientas de cifrado en los dispositivos que usen para el tratamiento

de los datos, principalmente en dispositivos móviles como computadoras

personales, tabletas y teléfonos inteligentes, entre otros.

Los resultados obtenidos durante la realización de esta encuesta demuestran que es

necesario replantear la importancia de la protección de los datos personales por parte de

los responsables de tratamiento, principalmente en las prácticas que llevan a cabo las

empresas, para que cumplan en los hechos con la LFPDPPP y su Reglamento.

26 Disponible en: https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management. 27 Disponible en: https://www.enisa.europa.eu/publications/dbn-severity. 28 Disponible en: http://ptac.ed.gov/sites/default/files/checklist_data_breach_response_092012.pdf.


https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management

https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management

https://www.enisa.europa.eu/publications/dbn-severity

http://ptac.ed.gov/sites/default/files/checklist_data_breach_response_092012.pdf

65


Esperamos contar con mayor participación de parte de las empresas en nuestra próxima

encuesta, así como obtener respuestas que muestren en ellas un mayor compromiso con

la protección de los datos personales y que esas empresas:

1. tienen el personal capacitado, tanto en la protección de los datos personales

como en la seguridad de la información que manejan;

2. han implementado los principios y políticas de protección de datos a los que

se refieren en sus avisos de privacidad;

3. han implementado sistemas para prevenir, detectar y remediar las

vulneraciones de los datos personales; y

4. cumplen en la práctica con su obligación de notificar vulneraciones de datos

personales a los titulares afectados.


66


Licencia CC 4.0

¿Por qué es importante que las empresas

notifiquen sus vulneraciones de datos

personales?

Los responsables deben notificar una vulneración de datos personales a los titulares

afectados porque:

o Las empresas responsables del tratamiento de datos personales, al notificar una

vulneración de datos personales, demuestran ser transparentes, abiertas y

comprometidas con la seguridad de los datos personales.

o Permiten a los titulares:

Tomar las medidas necesarias para evitar daños, reales o potenciales, y

Minimizar el impacto posible de la vulneración.

De acuerdo a datos de la Consumer Attitudes Toward Data Breach Notifications and

Loss of Personal Information29 del 2016, ser transparentes con los titulares afectados

les brinda “tranquilidad” porque el responsable demuestra actuar para remediar las

afectaciones. En esa encuesta, el 77% de las personas respondieron estar altamente

satisfechas con las compañías responsables del tratamiento por la respuesta posterior

a la vulneración de datos.

Brindar información importante para que los titulares conozcan qué datos personales

fueron, o están, comprometidos, esto ayudará a monitorear los servicios que tienen

contratados y que pueden ser afectados por la vulneración de datos.

29 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. XII. [En línea]. Disponible en: https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf.


https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf

67


Notificar una vulneración, también es cumplir con el principio de lealtad establecido

en la ley de protección de datos (LFPDPPP). Este principio obliga al responsable a

mantener la confianza del titular con relación a que sus datos personales serán

tratados conforme a lo acordado.

La mayoría de las personas valoran que las empresas notifiquen las vulneraciones de

datos personales, por lo que continúan haciendo negocios con esas compañías, tal

como sucede en los Estados Unidos.30

Notificar vulneraciones de datos personales es una parte importante de las medidas

de seguridad que deben implementar las empresas que tratan datos personales

porque pone en alerta sobre usos indebidos de esos datos, su pérdida, su acceso no

autorizado, o su modificación o divulgación.

Omitir la notificación de vulneraciones es negar las oportunidades a los titulares

afectados de adoptar medidas oportunas para protegerse de peligros como el robo

de identidad.31

o De hecho, la notificación ayuda a prevenir el robo de identidad: de acuerdo con

la Encuesta Nacional 2010 de Estados Unidos, las personas que recibieron una

notificación de vulneración de datos personales tienen cinco veces más

probabilidades de evitar ser víctimas de robo de identidad que una persona que

no recibió la notificación.32

o En Estados Unidos, las víctimas que recibieron una notificación de vulneración

tuvieron menores costos en tiempo y dinero para recuperar de un robo de

identidad, lo que implicó gastar 510 USD y 30 horas para revolver la afectación,

30 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. 41. [En línea]. Disponible en:

https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf. 31 United States Government Accountability Office - GAO. Privacy. Lessons learned about data breach notification. 2007. Pág. 3. [En línea]. Disponible en: http://www.gao.gov/assets/270/260052.pdf. 32 United States Government Accountability Office - GAO. Privacy. Lessons learned about data breach notification. 2007. Pág. 3. [En línea]. Disponible en: http://www.gao.gov/assets/270/260052.pdf.



http://www.gao.gov/assets/270/260052.pdf

http://www.gao.gov/assets/270/260052.pdf

68


Licencia CC 4.0

en comparación de los 1,108 USD y 41 horas que gastaron las victimas que no

recibieron una notificación de vulneración.33

La notificación es un paso fundamental en el procedimiento de reestablecer la

protección de los datos personales, ya que los titulares afectados podrán adoptar

medidas para recuperar el control de su información, por ejemplo cambiar sus

contraseñas, números de cuentas, cancelar tarjetas de crédito o débito, entre otras

medidas.

o De acuerdo al informe Consumer Attitudes Toward Data Breach Notifications and

Loss of Personal Information del 2016, el 51% de las personas que fueron

notificadas de una vulneración cambiaron sus contraseñas y otros números de

identificación personal.34

Cuando los titulares toman medidas para proteger su información, evitan el

tratamiento indebido de sus datos personales.

Al notificar una vulneración, los afectados tienen más información sobre lo ocurrido

para actuar de acuerdo al tipo de vulneración ocurrida, con lo que pueden adoptar

medidas como:35

o Pagar en efectivo, en lugar de utilizar un medio electrónico hasta que se remedie

la situación;

o Añadir alertas a sus servicios contratados con las empresas afectadas por una

vulneración para detectar movimientos irregulares;

33 Office of Privacy Protection of California. Recommended Practices on Notice of Security Breach Involving Personal Information. [En línea]. Disponible en:

https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/recom_breach_prac.pdf. 34 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. 29. [En línea]. Disponible en:

https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf 35 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. 29. [En línea]. Disponible en: https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf.


https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/recom_breach_prac.pdf



69


o Monitorear la actividad de sus servicios de crédito (transferencias, compras,

retiros) a los que se han suscrito;

o Aumentar la vigilancia sobre sus cuentas de una a tres veces por semana;

o Realizar análisis de antivirus en sus dispositivos móviles (teléfonos inteligentes,

tabletas o laptops).


70


Licencia CC 4.0

Información de contacto

SonTusDatos (Artículo 12, A.C.)

Web: https://sontusdatos.org

Teléfono: +52 (55) 6823-9052

Facebook: https://www.facebook.com/SonTusDatos

Twitter: @sontusdatos

Google +: https://plus.google.com/102749216725596520835/


http://sontusdatos.org/

https://www.facebook.com/SonTusDatos

https://twitter.com/sontusdatos

https://plus.google.com/102749216725596520835/

71


Propiedad Intelectual

De la encuesta

La propiedad de esta Encuesta sobre políticas de notificación de vulneraciones de datos

personales en el sector privado pertenece a exclusivamente a Artículo 12, A.C.

Artículo 12, A.C. distribuye esta encuesta (Encuesta sobre políticas de notificación de

vulneraciones de datos personales en el sector privado) bajo una Licencia Creative

Commons Atribución 4.0 Internacional.

De terceros

Las marcas registradas que son mostradas en esta obra son propiedad de sus respectivos

titulares.

°

°


http://creativecommons.org/licenses/by/4.0/

http://creativecommons.org/licenses/by/4.0/

72


Licencia CC 4.0

Encuesta sobre políticas de notificación de vulneraciones de

datos personales en el sector privado

ARTÍCULO 12, A.C

Teléfono +52 (55) 6823-9052 // [email protected]

https://www.sontusdatos.org


Políticas de notificación de vulneraciones de datos ... · de acceso a bases de datos, un equipo...

Documents

Transcript of Políticas de notificación de vulneraciones de datos ... · de acceso a bases de datos, un equipo...